Firewall

Iptables (Firewall)

Alcx

Firewall muito bom para servidores

Categoria: Segurança

Software: Iptables

[ Hits: 31.153 ]

Por: Cassio

0 0
Denuncie   Favoritos   Indicar  

Este Firewall atualmente esta vigorando na minha empresa. Ate hoje nao tive problemas com ele. Coloquei a liberação do Kazaa para dar exemplo caso seja necessario barrar ou liberar alguma outra porta que seja solicitada.

Abraços


echo
echo
echo
echo
echo
echo "#########################################################"
echo "#########################################################"
echo "########   LAN = ETH2      -     WAN = ETH0   ###########"
echo "#########################################################"
echo "#########################################################"
echo "################    ALCX CONSULTING   ###################"
echo "#########################################################"
echo "#########################################################"

#=========================================================================================

echo
echo
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@        CONFIGURACAO DO FIREWALL @@@@@@@@@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
echo

#=========================================================================================

echo " LIMPANDO AS REGRAS DO IPTABLES ------------------------ OK"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#=========================================================================================

echo " DEFININDO POLITICA DE REGRAS DO IPTABLES -------------- OK"

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#=========================================================================================

echo " LIBERANDO ACESSO AO SERVIDOR -------------------------- OK"

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --sport 22,25,80,110,443 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp -m multiport --dport 22,25,80,110,443 -j ACCEPT

#=========================================================================================

echo " BARRANDO SERVIÇOS E SITES EXTRAS ---------------------- OK"

iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d gateway.messenger.hotmail.com -j DROP
iptables -A FORWARD -d messenger.hotmail.com -j DROP
iptables -A FORWARD -d loginnet.passport.com -j DROP
iptables -A FORWARD -d login.passport.net -j DROP
iptables -A FORWARD -d login.icq.com -j DROP

#=========================================================================================

echo " LIBERANDO ACESSO A REDE LOCAL ------------------------- OK"

iptables -A INPUT -i eth2 -p tcp -m multiport --dport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp -m multiport --sport 80,22,25,110,137,138,139,443,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p udp -m multiport --dport 137,138,139,445,3128 -j ACCEPT
iptables -A INPUT -i eth2 -p udp -m multiport --sport 137,138,139,445,3128 -j ACCEPT

iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 80,22,25,110,443 -j ACCEPT  ### QUESTIONAVEL ###
iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 80,22,25,110,443 -j ACCEPT
iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 53 -j ACCEPT
iptables -A FORWARD -i eth2 -p udp -m multiport --dport 53 -j ACCEPT

#=========================================================================================

echo " LIBERANDO SERVIÇOS E SITES EXTRAS ---------------------- OK"

iptables -A FORWARD -i eth2 -p udp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -i eth2 -p tcp -m multiport --dport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -s 0/0 -p tcp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA
iptables -A FORWARD -s 0/0 -p udp -m multiport --sport 1214,32656 -j ACCEPT #### KAZAA

#=========================================================================================

echo " LIBERAÇÃO DOS SOCKETES -------------------------------- OK"

#### COM A LIBERACAO DAS PORTAS UDP-137,138,139,445 NAO EH NECESSARIO COLOCAR A CHAIN ABAIXO
#### SO EM CASO DE ERRO 

#iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT  #### DESCOMENTEM ESTA LINHA CASO SEJA NECESSARIO

#=========================================================================================

echo " COMPARTILHAMENTO DA INTERNET, MASCARAMENTO ------------ OK"

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#=========================================================================================

echo " PERMITINDO PROXY TRANSPARENTE ------------------------- OK"

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

#=========================================================================================

echo " PERMITINDO REDIRECIONAMENTO DE PACOTES ---------------- OK"

echo 1 >/proc/sys/net/ipv4/ip_forward

echo
echo
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo "@@@        TERMINO DA CONFIGURAÇÃO         @@@"
echo "@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@"
echo
echo
  


Comentários
[1] Comentário enviado por cah666 em 15/04/2006 - 17:51h

muito bom ^^

[2] Comentário enviado por daminelli em 18/04/2006 - 19:39h

gostaria de fazer uma perguntra para vc...

as linhas de mascaramento e de proxy transparentes, devem ser sempre as ultimas linhas do firewall?
favor responder tambem para o e-mail dad@unesc.net

Obrigado.

Diniz


[3] Comentário enviado por daminelli em 18/04/2006 - 19:54h

outra pergunta....

a sequencia: primeiro mascaramento e depois a configuração do uso do proxy, tem que ser esta? pois li o seguinte:

"Forçar as estações passarem pelo proxy, precisa colocar uma regra no firewall pra redirecionar todo o trafego da porta 80 para a porta 3128, o local de inserir a regra também é muito importante, tem que ser antes da regra que faz nat para evitar que as estações continue navegando sem passar pelo proxy... "

fonte:
http://72.14.203.104/search?q=cache:lBeKD0pwR5QJ:www.zago.eti.br/squid/dicas-e-truques.html+multipor...


acho que a sua regra está ao contrario.. é isto mesmo?

Obrigado

Diniz

[4] Comentário enviado por lipecys em 26/09/2007 - 15:36h

Muito bom.

Valew.


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Papagaiando o XFCE com temas e recursos

WhatsApp com Chamadas no Linux via Waydroid

Hardening NTP/Chrony no Linux

XFCE - quase um Gnome ou Plasma mas muito mais leve

LXQT - funcional para máquinas pererecas e usuários menos exigentes

Dicas

Removendo entradas de boot UEFI "fantasmas" via terminal

Atualizações de Segurança Automáticas no Debian

Como cortar as partes de um vídeo com passagens de áudio em branco

Tiling automático no KDE Plasma

SNMP Scan no OCS Inventory só funciona com HTTPS corretamente configurado

Tópicos

Reflexão sobre a sobrevivência do Gentoo Linux (2)

Alguém tem que acabar com ANATEL!!! (1)

1 a 0 vol (2)

GOG confirma suporte oficial ao sistema Linux: "o trabalho começo... (4)

musicas open source, onde baixo? (1)

Top 10 do mês

Scripts

[Shell Script] Zemblema

[Shell Script] Flatpak manager

[Outros] Script de limpeza, atualização e verificação de erros no Debian - v7

[Shell Script] Telegram direto do site

[Python] Redes Neurais

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: